财联社1月6日讯(记者 林坚)财联社记者最新获悉,中证协向券商下发了《网络和信息安全三年提升计划(2023-2025)》征求意见稿,力争到2025年,通过组织引导券商积极落实各项行动举措,促进证券行业网络和信息安全建设取得扎实成效。
据悉,《三年提升计划》作为指导2023至2025年券商提升网络与信息安全工作的行动指南,遵循了稳健性、系统性、差异性、创新性等基本原则,综合考虑不同年度、不同类型公司、不同基础明确了含33项重点工作内的网络和信息安全提升重点任务清单,以便于各券商更清晰明了参照执行。
中证协提到,整体信息技术投入不足、信息系统架构落后、信息技术管理能力欠缺等三项问题已经成为长期制约行业信息系统安全的主要问题。记者留意到,招商证券、国元证券、华西证券、东方财富等券商近年来发生过市场颇为关注的信息系统安全事件,也因此收到监管处罚。
(资料图片仅供参考)
基于上述情况,《三年提升计划》主要任务聚焦券商网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。
业界人士分析称,中证协此次发布的《三年提升计划》一方面有助于行业推进行业网络和信息安全防护能力持续提升,另一方面也将有助于加深网络安全提供企业与券商的紧密合作。
受该消息影响,1月6日午后开盘,金融软件股异动,顶点软件等午后直线拉升触板,恒生电子、财富趋势、大智慧、金证股份、指南针等纷纷冲高。网络信息概念股、信创概念股异动明显。
记者留意到,证券业数字化转型进入加速期,信息安全发展是题中之义。数据显示,2021年证券公司IT人员总数为30952人,同比增长19.7%,信息技术投入总金额为338.20 亿元,占2020年度营业收入的7.7%,同比增长28.7%。2021年,证券公司信息技术投入的中位数是1.43 亿元,最高为 23.38 亿元,最低为 0.17 亿元。
网络和信息安全投入及专业人数专章安排
经记者梳理,33项重点工作中有以下重点任务值得关注:
券商需在2023年底前根据公司的整体战略规划,制定全方位的网络和信息科技战略发展规划,明确实施策略和具体路径。并且结合行业监管与公司业务的发展,每年进行动态修订和持续完善。
鼓励进一步合理加大科技资金投入,有条件的公司2023-2025三个年度信息科技投入平均金额不少于上述三个年度平均净利润的8%或平均营业收入的6%,其中网络和信息安全投入不低于信息科技投入的7%。
信息科技专业人员不低于公司员工总数的6%,网络和信息安全专业人员不低于信息科技专业人员的3%且不应少于4人。
券商加强核心系统的技术攻关。鼓励有条件的公司积极推进新一代核心系统的建设,开展核心系统技术架构的转型升级工作。积极从集中式专有技术架构向分布式、低时延、开放技术架构转型,具备高可用、高性能、低延时、易扩展及松耦合等特性。
加强对信息科技服务机构管理,定期开展供应商评估,对合作供应商的资质、服务质量、响应效率等内容进行评估与审查,持续保障系统和服务的可靠性。
券商健全网络和信息安全风险管理二道防线,增强内部审查力度,全面识别风险、揭示问题,每年定期组织各防线的内部审查,建立闭环管理机制,确保风险及问题妥当处置。
鼓励有条件的公司加快信息系统上云,通过云计算平台承载及运行的信息系统比例不低于60%,由容器等云平台承载的云原生系统比例不低于10%。具体实施上,制定相应的风险应急预案,将建设风险控制到最低。
券商在2023年底前制定及完善涵盖自研系统和外购类系统的代码审计规范。自研系统的代码审计,应实现全部代码审计100%覆盖。
券商组建与系统规模相匹配的测试人员或团队,设置合理的开发与测试人员,测试人员不低于研发测试人数的20%。券商在2023年底前建立与持续完善软件质量管理制度以及测试指引。重要信息系统新上线或较大变更上线前,应全面完成测试验收。
券商建立一二三线的专业化团队协同分工机制,明确岗位分工,强化岗位职责。持续完善事件管理制度,规范事件的处置流程,形成覆盖故障的预警、报告、处置、复盘等完整的闭环管理。不断完善故障应急预案,建立告警故障处置知识管理机制。
券商在2023年底前建立健全自上而下、协同联动、高效有力的应急管理和舆情管理机制,提高公司应急管理和舆情管理水平,实现信息运行的实时舆情监控,并根据应急组织架构,压实各部门应急处置责任。
券商在2023年底前建立完善的漏洞管理制度,明确分级分类标准、职责分工与处置要求,漏洞管理覆盖研发过程管理、供应链管理和常态化风险巡检等方面。
券商持续提升安全攻击防控体系建设,以全面精准、集中化、自动化、协同化、知识化为目标,建立完善的应急处置制度、流程和预案,明确组织保障和协同机制,实现能力的全方位、多层次、立体化覆盖。
加强安全通报与预警能力建设,建立安全事件、漏洞信息等外部威胁情报的通报和预警工作机制,制定覆盖威胁情报监测、预警、通报和处置全流程的管理制度,明确威胁情报的分级分类标准及对应的处置时效要求。
可以看到,33项重点工作中主要涉及市场所关心的信息安全风控,信息故障预警以及突发事件临时处置等问题。据了解,为此,中证协积极推动加强行业网络安全服务生态建设,充分发挥行业信息安全联合实验室等行业网络安全机构的专业力量,为券商提供网络安全监测检查、风险评估分析、威胁追踪溯源和事件应急响应等在内的多样化、专业化、符合行业特点的安全服务,帮助券商发现并解决风险隐患,组织开展行业网络安全科研攻关。
中证协还积极鼓励各券商通过行业安全服务提升安全防护能力,共同促进行业网络安全健康发展。
33个重点任务主要明确了六大任务
整体来看,谈及三年提升计划的起草背景,中证协提到,近年来,行业网络和信息安全运行态势总体平稳,但随着业务与技术加速融合,网络和信息安全管理日趋复杂,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息安全管理能力面临更大挑战。
围绕上述挑战与行业现状,可以看到此次提升计划33个重点任务主要明确了六大任务。展开来看,各有具体要求:
一是科技治理能力主要包括完善科技战略发展规划,健全科技治理架构,推动信息科技管理体系建设,增强合规风控内部审查,完善供应商管理机制等五方面具体要求。
二是科技投入机制主要包括加大科技资金投入,加强科技人才队伍建设等两方面具体要求。
三是信息系统架构规划设计主要包括建立及完善系统架构管理机制,建立及健全企业级应用架构,加强数据架构体系治理,推进技术架构转型升级,提高核心系统自主掌控能力等五方面具体要求。
四是系统研发测试管理能力主要包括建立及完善需求设计及分析机制,提升代码开发效率及安全,制定并落实信息系统代码审计规范,加强信息系统测试质量管控,提升第三方合作业务风险管控能力等五方面具体要求。
五是系统运行保障能力主要包括加强信息系统上下线管理,管控信息系统变更风险,提升信息系统故障发现能力,提高事件预警及处置效率,健全组织级应急响应管理机制,做好信息系统容量与性能管理,完善重要信息系统备份能力等七方面具体要求。
六是网络和信息安全防护体系主要包括深化漏洞全生命周期管控,提升安全攻击防控能力,加强网络安全态势感知和通报预警,加强数据安全管理体系建设,持续加强安全意识培训,做好安全全局性建设等八方面具体要求。
中证协表示,研究起草《三年提升计划》旨在为深入贯彻党的二十大精神,全面落实网络强国、数字中国战略,推动券商加强网络与信息系统安全稳定运行保障体系和能力建设,提高资本市场网络和信息安全水平,防范化解网络与信息系统安全风险,推动数字赋能行业高质量发展,为服务实体经济做出新贡献。
记者注意到,《三年提升计划》的目标是直到2025年,力争行业人员网络和信息安全意识明显增强,科技治理能力有效提升,信息系统架构掌控能力全面加强,科技资金投入和人才培养力度持续加大,网络和信息安全防护体系基本健全,行业科技创新和数字化转型迈上新的台阶,为行业高质量发展提供有力支撑,全力支持资本市场改革发展,牢牢守住不发生系统性网络和信息安全风险的底线。
网络和信息安全情况纳入评级依据
值得一提的是,《三年提升计划》还提出应从组织领导、人才培养、评估激励、技术规范、公共服务建设、宣传引导等六个方面建立保障机制,促使各公司深刻认识网络和信息安全提升工作的重要意义,加强组织领导,确保工作有效落地。
尤其是,明确各券商要建立网络和信息安全提升工作统计考评的长效机制,奖优惩劣。据悉,中证协也将建立券商网络和信息安全提升的信息统计机制,推动相关配套激励政策落实,为网络和信息安全情况纳入券商信息科技分类监管评级提供公允的参考依据。
据记者观察,长期以来,人才培养是行业网络与信息系统安全的重点保障工程,在此次《三年提升计划》中也予以明确的任务指引。
《三年提升计划》提到,各券商要优化技术从业人员结构,聚焦专业素质能力提升,做好金融科技专业领域核心人才挖掘、培养,完善从业人员梯队结构,做好青年技术员工等储备;健全从业人员培养体系,提升技术从业人员专业能力和视野,增加技术从业人员发展机会;完善市场化激励约束机制,提升人才队伍稳定性。
中证协表示,将搭建培训交流平台,定期组织开展行业网络和信息安全技能培训,加强技术从业人员执业声誉风险管理和声誉激励约束。
此外,强化技术规范也是行业网络与信息系统安全的工程之一。《三年提升计划》提到,各券商要加强技术领域企业标准建设,鼓励制定并执行严于国家标准、行业标准的企业技术标准,积极争当企业技术标准“领跑者”。
据了解,中证协配套修订《证券期货经营机构信息技术治理工作指引》《证券公司集中交易安全管理技术指引》《证券公司网上证券信息系统技术指引》《证券公司证券营业部信息技术指引》等自律规则和业务规范,构建证券行业网络和信息安全标准体系。
《三年提升计划》还进一步要求各券商要认真总结网络和信息安全提升工作经验和实践成果,开展网络和信息系统安全宣传活动。为此,中证协将通过开展行业培训和经验交流,总结推广优秀案例、最佳实践,引导行业对标提升,构建良好的证券技术生态。